Dear reader, please download one of Myanmar unicode font and install it on your PC to see my blog well.Thanks.

You Might Not Know You Are Still Using SSLv2.0

၁၉၉၄ ခုနှစ်မှာ Secure Sockets Layer (SSL) Protocol ဆိုတာကို Netscape Communications က တီထွင်ခဲ့ပါတယ်။
အဲဒီအချိန်တည်းက SSL ဆိုတာ နေရာယူလာခဲ့တာ နှစ်ပေါင်းအတော်ကြာပါပဲ။
နှစ်တွေကြာလာတာနဲ့အမျှ Protocol က ပြောင်းလဲ လာလိုက်တာ SSLv2.0 -> SSLv3.0 -> TLSv1.0 -> TLSv1.1 -> TLSv1.2 တွေအထိဖြစ်လာပါပြီ။
ဒီလိုပြောင်းလာပေမယ့် ခုထိ SSLv2.0 ကို အသုံးများနေကြတာကို တွေ့နေရတုန်းပါ။
ဒီဖက်ခေတ်မှာ SSLv2.0 ဟာ လုံလောက်တဲ့ လုံခြုံရေး စနစ်တခုမဟုတ်တော့ပါဘူး။ သူ့မှာ အောက်မှာ ပြောထားတဲ့ အားနည်းချက်တွေရှိပါတယ်။

  •           Client – Server Message Authentication အတွက် MD5 ဆိုတာကိုသုံးပါတယ်။ MD5 ဟာ မလုံခြုံတော့ပါဘူး။
  •           Connection စဖို့ Handshake Message တွေပို့တဲ့အခါ Protection မလုပ်ပါဘူး။ ဒီအချက်ကပဲ attacker တွေဟာ man-in-the-middle attack ကိုသုံးပြီး client တွေကို အားနည်းတဲ့ cipher suite ကို ရွေးစေခြင်းဖြင့် အချက်အလက်လုံခြုံရေးကို ခြိမ်းခြောက်လာစေပါတယ်။
  •           Message Integrity, Message Encryption တွေအတွက် တူညီတဲ့ Key တွေကို အသုံးပြုပါတယ်။ ဒီအချက်ဟာလည်းပဲ အားနည်းတဲ့ Encryption Algorithm ကို Negotiatation အတွက်သုံးတဲ့ Client – Server တွေရဲ့ အချက်အလက် လုံခြုံရေးကို ခြိမ်းခြောက်လာစေပါတယ်။
  •           Client – Server တွေရဲ့ Session တွေကို လွယ်လွယ်ကူကူပဲ Terminate လုပ်နိုင်ပါတယ်။ ဒီအချက်ကတော့ man-in-the-middle attacker အနေနဲ့ TCP FIN packet တခုထည့်ပြီး session ကို Terminate လုပ်လိုက်နိုင်ပါတယ်။ အဲဒီလိုလုပ်လိုက်တာကို Client – Server တွေအနေနဲ့ ပုံမှန် Session Terminate ဟုတ်တယ် မဟုတ်ဘူး ဆိုတာ မခွဲခြားနိုင်တာက ပြဿနာပါ။

SSLv2.0 ပေါ်လာတာ နှစ် ၂၀ ကျော်ကြာခဲ့ပါပြီ။ သူ့ရဲ့ အားနည်းချက်တွေကိုလဲ RFC 6176 နဲ့ လွန်ခဲ့တဲ့ ၅ နှစ်ကျော်ကတည်းက ထောက်ပြပြီးပါပြီ။ ဒါပေမယ့် ဒီအားနည်းချက်ရှိတဲ့ SSLv2.0 ကို လူတော်တော်များများ အသုံးပြုနေကြပါသေးတယ်။

ပြီးခဲ့တဲ့ ဇွန်လ ( ဇွန် ၊ ၂၀၁၆) မှာ ၂% ထက်နည်းတဲ့ SSLv2.0 Server Hello message တွေကို Firewall တွေမှာ လက်ခံရရှိနေသေးပြီး ၄၀% ထက်များတဲ့ SSLv2.0 Client Hello message တွေကိုလည်း Firewall တွေမှာ လက်ခံရရှိနေပါသေးတယ်တဲ့။

အပေါ်မှာပြောခဲ့သလိုပဲ SSLv2.0 ဟာ လုံခြုံရေး အားနည်းချက်တွေ ရှိနေပြီဖြစ်တဲ့အတွက် သင့်ရဲ့ System တွေအတွက် အန္တရာယ်နေပါပြီ။ ဒီအတွက် Client/Server Software Setting တွေကို ပြန်လည်စစ်ဆေးဖို့လိုအပ်နေပြီး၊ SSLv2.0 အသုံးပြုနေခြင်းကိုလဲ ရပ်ပြီး TLS1.2 ကိုသုံးသင့်ကြောင်း အသိပေးလိုက်ရပါတယ်။

Source : Dell SonicWall Security Center

ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)



Contact Form for ictformyanmar.com

Name

Email *

Message *